🔑 Как влезают в линуксовые бинарники?
Ниже серия постов с описанием и примерами методик вторжения и способами защиты.

Помимо описательной части, все сопровождается примерами на С/С++ и массой ссылок на первоисточники. Любителям основательного подхода рекомендуем!

Раз
Два
Три
Четыре
Пять

#полезное #заметкитехдира

👤75% компаний не выполняют требования закона о персональных данных

#нечаянный_инфобез

Компания «К2 Интеграция» провела опрос среди компаний и выяснила, что только 3% готовы к выполнению требований закона № 152-ФЗ "О персональных данных", вступивших в силу 1 марта 2023 года.

75% компаний до сих пор не выполнили требования первых поправок, действующих с 1 сентября 2022 года.

Также по результатам исследования:
– 66% компаний не начинали подготовку;
– 56% компаний сталкиваются с проблемами уведомления об инцидентах;
– 53% не разобрались с нюансами оценки вреда субъектам.

Напомним, что подготовили ряд материалов по выполнению требований № 152-ФЗ:

🛡Перечень НПА по ПДн с 01.03.2023 года

🛡Все цели обработки ПДн одним файлом

🛡Ответственность за несоблюдение требований законодательства в сфере защиты персональных данных

🛡Чек-лист по выполнению новых требований закона №152-ФЗ

#персданные

💬Эволюция полос прокрутки с 1981 по 2015 год

Можно зайти на сайт и воспользоваться каждой

🔔Linux: выпуск пакетного менеджера APT 2.6 и дистрибутива Armbian 23.02

- Инструментарий и файлы конфигурации адаптированы для поддержки нового репозитория non-free-firmware, в который из репозитория non-free перенесены пакеты с прошивками, что позволяет обеспечить доступ к прошивкам без включения общего репозитория non-free.

- Оформление файла со списком авторских прав и текстами используемых лицензий (COPYING) переделано для упрощения автоматизированного разбора.

- Документирован параметр "--allow-insecure-repositories", отключающий ограничения по работе с незащищёнными репозиториями.

- В поисковых шаблонах реализована поддержка группировки с использованием круглых скобок и операции "|" (логическое ИЛИ).

- Добавлена поддержка поэтапных обновлений (phased update), позволяющих перед доставкой всем пользователям, вначале протестировать обновления на небольшой тестовой группе пользователей.

🔵Linux-дистрибутив Armbian 23.02 предоставляет компактное системное окружение для различных одноплатных компьютеров на базе процессоров ARM.

Для формирования сборок используются пакетные базы Debian и Ubuntu, но окружение полностью пересобирается при помощи собственной сборочной системы с включением оптимизаций для уменьшения размера, увеличения производительности и применения дополнительных механизмов защиты. Например, раздел /var/log монтируется с использованием zram и хранится в ОЗУ в сжатом виде со сбросом данных на накопитель раз в день или при завершении работы. Раздел /tmp монтируется при помощи tmpfs.

Проектом поддерживается более 30 вариантов сборок ядра Linux для разных платформ ARM и ARM64. Для упрощения создания своих системных образов, пакетов и редакций дистрибутива предоставляется SDK. Для подкачки используется ZSWAP. При входе по SSH предоставляется опция для использования двухфакторной аутентификации.

👮‍♂️В сервере автоматизации Jenkins с открытым исходным кодом была обнаружена пара серьезных уязвимостей.

Уязвимости, отслеживаемые как CVE-2023-27898 и CVE-2023-27905 и влияющие на сервер Jenkins и Центр обновлений, получили общее название CorePlague. Все версии версий Jenkins до 2.319.2 уязвимы. Пользователям рекомендуется обновить свой сервер Jenkins до последней доступной версии, чтобы снизить потенциальные риски.

🟡Импортозамещение виртуализации: платформа РЕД

Платформа РЕД виртуализация (версия 7.3) — заключительная отечественная система виртуализации, которую команда CORTEL тестировала в рамках задачи по импортозамещению VMware в одной из крупнейших электросетевых компаний в России.

Ознакомиться с результатами исследования, функциональными и эксплуатационными характеристиками РЕД, включая:
🔵Систему мониторинга
🔵Управление ролевой моделью доступа
🔵Поддержку систем резервного копирования
🔵Поддержку блочных и файловых систем хранения данных -

- можно здесь.

#импортозамещение #полезное #заметкитехдира

🚓Утечка данных в Acronis

Хакеры выложили в открытый доступ внутренние данные компании Acronis – разработчика ПО для защиты данных, резервного копирования и восстановления виртуальных, физических и облачных сред.

В архиве с утечкой acronis.tar.gz размером 12,2 ГБ содержатся:

🔵файлы сертификатов;
🔵журналы команд;
🔵системные конфигурации;
🔵журналы системной информации;
🔵архивы их файловой системы;
🔵скрипты python для их базы данных maria.db;
🔵конфигурация резервного копирования;
🔵множество снапшотов операций резервного копирования.

Напомним, что в марте 2022 года Acronis объявила, что приостанавливает все операции в России.

Профильные эксперты считают, что если утечка является подлинной, инцидент принесёт репутационные риски для ИБ-компании Acronis.

Аналоги или альтернативы Acronis — Paragon Software, Clonezilla, GParted, «Кибер Бэкап» от «Киберпротект» (ранее «Акронис-Инфозащита»).

#утечки

🔆С 13 марта на GitHub станет обязательна двухфакторная аутентификация - но пока не для всех пользователей.

Платформа анонсировала поэтапное внедрение опции. 2FA станет обязательной к концу 2023 года.

🔰Site Reliability Engineering

Данная книга является одной из первых, где был упомянут SRE – подход к работе с непрерывностью веб-сервисов. SRE-инженеры обеспечивают стабильную и предсказуемую работу приложений/сайтов и т.д, обнаруживая проблемы до того, как о них сообщит клиент. Они объединяют команды разработки и операционные службы – и выстраивают единый, слаженный процесс.

Это — бесплатный материал, в котором инженеры делятся опытом в DevOps-практике и SRE. Начиная с таких базовых вещей, как определение SLO (service level objectives), авторы постепенно переходят к более глубоким топикам — пайплайнам обработки данных, управлению нагрузкой, реакциям на инциденты, и объясняют, как со всем этим работать на масштабе.

А перед тем, как приступать к изучению книги, рекомендуем ознакомиться с вводным материалом, где рассказали:
✅ О подходе и культуре SRE
✅Историю появления SRE
✅ Как потерять 100 млн рублей за несколько часов?
✅ Как считать, контролировать, внедрять и использовать SRE-подход -

– здесь.

#полезное #заметкитехдира

🔵Отличным дополнением в теме SRE может стать книга Building Secure & Reliable Systems. Она рассказывает, как строить защищенные и надежные системы.

Авторы говорят о дизайн-стратегиях, дают рекомендации по написанию кода и его отладке, а также предлагают алгоритмы для обработки инцидентов, которые можно брать и применять на практике.

#полезное #заметкитехдира

🔄Как правильно отразить расходы на искусственный интеллект в декларации по налогу на прибыль

✅ С 2023 года расходы на искусственный интеллект можно учитывать в повышенном размере – с коэффициентом 1,5. Основное условие – созданные ПО и базы данных должны быть включены в реестр российской радиоэлектронной продукции или реестр российского ПО.

✔ С таким же коэффициентом могут также учитываться и расходы на приобретение прав использования такого ПО и баз данных у правообладателей.

❕ К основной норме амортизации можно применять повышающий коэффициент не выше 3.

🔢 Коды, которые используются при заполнении Приложения № 1 к декларации по налогу на прибыль при учете указанных выше расходов, можно найти здесь.

🔎Бренды иностранных компаний на российском ИТ-рынке

После ухода западных организаций, российские сотрудники некоторых из них решили продолжить бизнес и заполнить образовавшиеся на отечественном рынке ниши.

Также российские ИТ-компании вышли на новые рынки путем приобретения готовых подразделений иностранных вендоров.

🟡ТОП 10 мифов об облаках

Несмотря на зрелость и растущую популярность облачных технологий, до сих пор существует целый ряд мифов относительно их реальных преимуществ для бизнеса.

В новом материале разобрали топ самых популярных заблуждений об облаках, оценили, насколько они близки к реальности и выяснили:

🔵Причём здесь бэкапы?
🔵Почему облака - это не 100% uptime?
🔵Почему "стратегия единого поставщика" работает не всегда?
🔵Как бизнесу получить все облачные преимущества?

Ознакомиться можно здесь

#полезное #заметкитехдира #бизнес_ИТ

🔥Идея для вечернего времяпрепровождения:

✅изучить сайт с подборкой разных звуков, исчезающих из-за научно-технического прогресса.

Услышать пастухов, поющих своим овцам в Словакии (да, они тоже исчезают), можно здесь.

🗣Расширение AutoUnsubscribe поможет разом отписаться от всех электронных рассылок.

Отображает список всего спама, достаточно нажать одну кнопку, чтобы письма больше не приходили.

#полезное

🆕🆕🆕 Импортозамещённые новости

📣1,3 млрд рублей на отечественный аналог GitHub
Минцифры нашло инвестиции в размере 1,3 млрд рублей на создание государственного репозитория ПО до 30 апреля 2024 года.

После всех согласований средства будут переданы АНО «Открытый код», которые уже начали разрабатывать техзадание.

Согласно постановлению Правительства РФ от 10.10.2022 № 1804 предусматривается:
🗣создание национального репозитория ПО с открытым кодом;
🗣размещение в нём ПО, созданного, в том числе, за бюджетные средства, для переиспользования в других проектах;
🗣формирование нормативной базы для публикации ПО с открытым кодом;
🗣форма открытой лицензии, на условиях которой ПО будут публиковать государственные органы и корпорации.

Открытая лицензия должна удовлетворять ряду требований, например:
🔵«не должна налагать каких-либо ограничений на использование (включая распространение и продажу экземпляра)»;
🔵«должна являться безвозмездной»;
🔵должна быть доступность исходных текстов ПО, возможность переработки;
🔵«не должна содержать условия, ограничивающие использование ПО любым лицом или группой лиц».

📣«Сколково» начал отбор проектов особой значимости
Фонд «Сколково» объявляет о старте приёма заявок на участие в конкурсном отборе особо значимых проектов. К ним относятся ИТ-проекты, деятельность которых направлена на импортозамещение и импортоопережение. Размер гранта составит до 700 млн рублей.

Получить гранты могут российские компании:
– проекты которых включены в перечень ОЗП, утверждённый президиумом Правительственной комиссии по цифровому развитию.
– выступающие заказчиками пилотного внедрения отечественных продуктов, сервисов или платформенных решений, созданных на базе цифровых технологий.

В 2022 году «Сколково» предоставил гранты семи ОЗП из металлургической, химической, авиастроительной, сельскохозяйственной отраслей. Сумма грантов превысила 1,9 млрд рублей.

📣«Газпромбанк» переходит на Эльбрус и российское ПО
Компания «БПС Инновационные программные решения» начала миграцию прикладного ПО процессингового центра «Газпромбанка» на отечественный стек технологий, включающий в себя программные решения СмартВиста, платформу Эльбрус и импортозамещённую базу данных. В рамках первой фазы проекта уже проведены тестовые операции.

«Мы первыми из банков решились на перевод одной из самых критичных с точки зрения надёжности и производительности финансовых систем на полностью российский стек технологий, включая аппаратную платформу на основе процессоров "Эльбрус". Наша уверенность в результатах проекта основана, в том числе, на опыте и профессионализме наших партнёров – компании БПС», —Юрий Гудкин, исполнительный вице-президент, начальник Департамента процессинга и платёжных технологий Газпромбанка.

Напомним, что в 2021 году «Сбер» провёл собственное тестирование российских серверов на базе процессоров «Эльбрус-8С» и оказался недоволен показателями производительности. В 2022 году банк исключил российских претендентов из крупного тендера по закупке серверов.

👨‍💼Бессрочная нулевая ставка по налогу на прибыль для ИТ-компаний

Речь идёт об изменениях в законопроект, устанавливающий налог в 0% до конца 2024 года, которые Владимир Путин подписал в июле 2022 года.

«Принимая во внимание возможные сроки принятия законопроекта, фактический срок применения предлагаемых льгот будет ограничен календарным годом. В этой связи предлагаем предусмотреть в рамках законопроекта норму, устанавливающую бессрочный характер действия льготной ставки налога на прибыль» – отмечается в документе, отправленному на подпись в Госдуму.

✅Более того, предлагают расширить список ИТ-компаний, претендующих на освобождение от налога на прибыль. С инициативой выступил член комитета по информационным технологиям Госдумы Антон Немкин.

В настоящий момент налоговые льготы действуют в отношении разработчиков ИТ-продуктов, но не затрагивают компании, которые обслуживают ИТ-системы.

По словам Немкина, текущее законодательство способствует установлению неравных конкурентных условий на рынке, что чревато непропорциональным развитием ряда сфер ИТ-отрасли и замедлением роста российской индустрии информационных технологий.

Если вам интересен полный перечень действующих льгот для ИТ-отрасли, рекомендуем ознакомиться с материалом, в котором также рассказали всё о штрафах и мерах ответственности.